无线射频识别技术中的安全性.pdf

第7 章 无线射频识别技术中的安全性 射频识别系统广泛应用于物理对象的识别。目前已被应用于货物供应链、库 存管理等的产品认证、图书馆图书认证等领域。RFID 受制于廉价标签的计算和 数据存储能力，容易受到包括隐私问题在内的各种安全威胁。RFID 系统必须使 安全识别以及其他相关安全问题得到可靠解决。 7.1 RFID 中的攻击 7.1.1 安全需求 RFID 技术可能代替条形码技术。但RFID 技术带来的新的风险需要考虑。 当一个条形码阅读器失败时，可以手动输入代码进入终端维持系统继续工作。但 当RFID 读写器处理大量物品，并且物品以高速移动，RFID 读写器失败则会导 致严重的后果。因此，RFID 安全需求应该被视为处于优先级。 典型的RFID 系统主要包括三个部分：应答器或RFID 标签、收发器或RFID 读写器以及后端服务器( 图7-1)。RFID 读写器或应答器由RF 模块、控制单元和 一个耦合器组成。这些组成部分为应答器供了不同类型的各种功能，例如巡查、 功率估计、识别、读、写，且可具有扩展存储和处理能力。它们与后端服务器进 行通信，可代替标签执行一些复杂的密码操作。标签与读写器之间的通信信道通 常认为是不安全的，主要是因为该通道是基于空中接口的，而读写器和后台服务 器之间的通信信道通常认为是安全的。读写器可以是手持设备也可以是基于无线 网络的移动设备。 图7-1 典型RFID 系统 后端服务器通常由一个数据库和处理逻辑组成。它从读写器获取数据，为数 据供进入数据库的通道，数据将被存储在数据库中。数据库中包含每个标签的 1 数据，就像管理唯一标示符、关键字、随机识别符或者其它基元。当然，数据库 也保存事务日志、产品信息以及关键管理数据。后台服务器与读写器之间的通信 信道被认为是安全的。 减小对数据和计算资源的机密性(Confidentiality)、完整性(Integrity)、有效性 (Availability)威胁至关重要。机密性、完整性、有效性被称为安全三角，如图7-2 。 Confidentiality Integrity Availability FIGURE 2.1 Three pillars of security: the CIA triad. 图 7-2 安全三角 机密性（Confidentiality ）：只有经过授权访问的人员才可以访问的信息。确 2.1.3 SECURITY NEEDS 保信息在存储、使用、传输过程中不会泄漏给非授权用户或实体，对数据和资源 As any other mission-critical system, it is important to minimize the threats to the confidentiality, integrity, and availability (CIA) of data and computing resources. These three factors are often 供保护。隐私信息，如通过标签传输的静态标示符，属于机密性维度。此外， referred to as “The Big Three.” Figure 2.1 illustrates the balance between these three factors. However, not all systems need the same security level. For example, not all systems need 99.999 RFID 技术允许跟踪条目。从用户角度来说，应避免跟踪技术。 percent availability or require that its users be authenticated via retinal scans. Because of this, it is necessary